Istraživači su otkrili naprednu tehniku napada koja iskorišćava implementacije Microsoft Azure Arc kako bi se stekao trajni pristup korporativnim okruženjima. Ova studija, sprovedena tokom nedavnih operacija crvenih timova, pokazuje kako hakeri mogu iskoristiti pogrešno konfigurirane Azure Arc instalacije za eskalaciju privilegija od cloud okruženja do lokalnih sistema, te za održavanje dugotrajnog prisustva koristeći legitimne Microsoft usluge. Azure Arc, Microsoftova platforma za upravljanje hibridnim cloudom, proširuje izvorne mogućnosti upravljanja Azureom na lokalne sisteme, Kubernetes klastere i druge resurse van Azurea. Iako je dizajnirana da pojednostavi upravljanje hibridnom infrastrukturom, mehanizmi implementacije i procesi konfiguracije ove usluge otvorili su nove vektore napada koje mogu iskoristiti hakeri.
Istraživanje demonstrira kako hakeri mogu identificirati Arc implementacije u korporativnim okruženjima i zloupotrijebiti uobičajene greške u konfiguraciji da bi postigli izvršenje koda s privilegijama na nivou sistema. Tehnike napada fokusiraju se na iskorišćavanje akreditiva Servisnih principala koji su često kodirani u skripte za implementaciju ili skladišteni u dostupnim mrežnim dijeljenjima. Ovi akreditivi, prvobitno namijenjeni za automatsku registraciju Arc klijenata, mogu biti oporavljeni od strane hakera koji steknu pristup infrastrukturi za implementaciju ili konfiguracijama politika. Jednom kada se dobiju, ovi akreditivi se mogu iskoristiti za izvršavanje proizvoljnog koda na sistemima kojima upravlja Arc, kroz različite interfejse za upravljanje Azureom.
Analitičari iz IBM-a identifikovali su više vektora implementacije koji uvode bezbjednosne ranjivosti, uključujući PowerShell skripte sa ugrađenim tajnama, pogrešno konfigurirane implementacije System Center Configuration Managera (SCCM) i Group Policy objekata (GPO) koji skladište šifrovane akreditive koristeći DPAPI-NG. Tim za istraživanje je primijetio da ove metode implementacije, iako prate zvanične smjernice Microsofta, često rezultiraju izlaganjem akreditiva zbog prekomjerno dozvoljenih kontrola pristupa i neadekvatnih praksi upravljanja tajnama.
Najznačajnije otkriće uključuje iskorišćavanje DPAPI-NG šifrovanih tajni skladištenih u dijeljenjima za implementaciju Azure Arc. Kada se Arc implementira putem Group Policy, administratori kreiraju mrežna dijeljenja koja sadrže datoteke za implementaciju, uključujući datoteku “encryptedServicePrincipalSecret” zaštićenu DPAPI-NG šifrovanjem. Međutim, ovo šifrovanjem je konfigurisano tako da dozvoljava bilo kojem članu grupe domenskih računara da dešifruje tajnu, čime je efektivno čini dostupnom bilo kojem kompromitovanom sistemu u domeni. Proces dešifrovanja uključuje pristup dijeljenju za implementaciju i korišćenje PowerShell komandi za preuzimanje šifrovanog bloba. Hakeri mogu izvršiti sljedeću tehniku sa bilo kojeg sistema sa NT_AUTHORITY\SYSTEM privilegijama:
Ova metoda oporavka akreditiva pruža hakerima pristup Servisnim principalima koji se mogu odmah iskoristiti za izvršavanje koda na sistemima kojima upravlja Arc. Istraživanje pokazuje da ovi oporavljeni akreditivi često posjeduju povišene privilegije izvan njihovog predviđenog opsega, uključujući ulogu “Azure Connected Machine Resource Administrator”, koja daje sveobuhvatne mogućnosti upravljanja nad Arc implementacijama.